IL SEGRETO DI PULCINELLA

Si discute d’intercettazioni ma la nostra PEC-CEC-PAC può essere intercettata ?

Tutto il meccanismo della PEC-CEC-PAC s’incentra su di una trovata tutta Italiana la “Busta di Trasporto” regolata sia dal D.P.R. n. 68/2005@@@ che dal DECRETO 2 novembre 2005 @@@ Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata , difatti il messaggio che noi prepariamo viene imbustato nella cosidetta “busta di trasporto” dal gestore del mittente e spedito a quello del destinatario è bene fare particolare attenzione a questa nuovo sistema dove la firma digitale viene apposta sulla “busta di trasporto” secondo la normativa al fine sembrerebbe di salvaguardare le due parti mittente e destinatario e dare sicurezza a quanto contenuto nella “busta di trasporto”

Orbene con questa procedura si snatura la natura della firma digitale e suoi scopi essa infatti è nata  non  solo per certificare colui che firma un documento, oggi anche contratti ed altri atti amministrativi ma per sostituire la firma autografa , normalmente autenticata da un notaio o da un pubblico ufficiale. Assimilandola al timbro che l’ufficio postale appone al plico raccomandato mi sembra si usi la firma digitale in modo improprio. Con una importante aggravante di ordine tecnico che approfondisco ma anche giuridico che lascio ai giuristi

  1. La firma digitale è univoca ed appartiene per la sua natura alla persona fisica che l’ha richiesta nel rispetto delle procedure stabilite dalla legge istitutiva della stessa , nonché delle direttive comunitarie relative la prima la 93/99, in Italia piuttosto restrittive.
  2. Il titolare della stessa è soggetto ad una serie di cautele sullo uso è la conservazione la messa in sicurezza della stessa, conservazione in apparati sicuri uso avanzato di password ecc. .
  3. L’uso è ristretto alla firma di documenti in forma digitale la formazione dei quali ha valenza giuridica, tale concetto riportato sia nella legge Bassanini all’art 15/2 piuttosto chiaro “Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge
  4. Il principio  su enunciato cardine di tutte le norme successive non entra minimamente nel merito di come il documento debba essere spedito, archiviato, trattato.
  5. Una delle caratteristiche della firma digitale è quella di garantire l’inalterabilità del documento una volta firmato, conseguentemente lo stesso in qualsiasi modo venga spedito, archiviato od altro deve rimanere integro ed originale, può anche essere criptato e/o protetto da password, per non renderle intellegibile a terzi se non coloro che vogliamo.

Esaminando invece cosa avviene nel mondo PEC il gestore ne più e nemmeno come l’ufficiale postale mette un timbro,  firma con un’unica o più firme digitali di sua disponibilità e proprietà le buste in cui transitano tutti i documenti spediti attraverso la PEC e li conserva nei server di sua proprietà le cui porzioni sono “affittate” ai titolari di caselle PEC, scambia le chiavi costituenti la firma digitale con altri gestori ed invia le “buste di trasporto” che contengono i messaggi e relativi allegati al gestore del destinatario ingenerando il traffico composto da messaggi e ricevute. secondo il seguente schema.

Così come l’adetto alla sicurezza di un Hotel accede con il passpartout in qualsiasi camera , il gestore dall’una (mittente) e dall’altra parte (destinatario), ha la possibilità  di accedere con le proprie credenziali in qualsiasi casella di posta elettronica certificata (assimilabile alla stanza d’albergo), ed aprire qualsiasi messaggio in essa contenuto in quanto tenutario della chiave crittografica X-509 (firma digitale) di tutte le buste di trasporto di tutti i suoi clienti titolari di caselle PEC-CEC-PAC. Questo fatto tecnicamente incontrovertibile fa una differenza non da poco con la raccomandata che ritorna integra al mittente in caso di mancata consegna, entrambi sono soggetti oltre che a fatti di illegalità, infedelta dei dipendenti del gestore ecc. anche ad intercettazioni, peraltro libere e non soggette all’odierna storia infinita della legge sulle intercettazioni in discussione da oltre 5 anni che si occupa prevalentemente delle intercettazioni in fonia (telefonate) da parte dell’ Autorità Giudiziaria Questa infatti con una semplice ordinanza di poche righe può disporre, ad esempio a Poste Italiane, “Intercetta tutti i messaggi in arrivo e partenza dalla casella PEC del Sig. Rossi e mandamene una copia” Non c’è che dire sistema semplice è rapido per avere tutto ma proprio tutto già trascritto e pronto all’uso.

Mi sembra quindi sostanziale la differenza con un sistema S-mime dove il messaggio transita:

1)   Su di un provider di nostra fiducia e non imposto da nessuno

2)   Può essere criptato e conseguentemente anche se intercettato da un malintenzionato o dall’autorità non potrà essere usato

3)   In sostanza ha le stesse caratteristiche della PEC-CEC-PAC con la riservatezza in più oltre la firma digitale sul documento e non sulla busta

4)   Può essere usato in tutto il mondo

E non si può dire che non se ne sia discusso Cittadini di Internet nel 2009 organizzo un convegno a Roma dal titolo significativo “Privacy ed Intercettazioni , non solo telefonate”[1]

In caso di un’eventuale mancata ricezione da parte del destinatario il gestore di posta del destinatario informerà il mittente qualora entro 24 ore non sia riuscito ad effettuare la consegna della busta di trasporto contenente il messaggio .

I gestori sono tenuti (non obbligati) a verificare che il messaggio di posta elettronica non sia contagiato da virus e ad adottare i comportamenti disciplinati all’art. 12 del D.P.R. 68/2005 (fig n. ).

Il D.P.R. n. 68/2005 stabilisce, anche, una soluzione per l’eventuale smarrimento delle ricevute; infatti, un apposito archivio informatico custodito dai gestori di posta elettronica certificata, ha il compito di conservare, per un periodo di trenta mesi, le tracce informatiche caratterizzate dallo stesso valore giuridico. Quello che non si riesce a capire è come si riescano a separare ricevute dai contenuti quindi l’intero messaggio. E’ evidente che i gestori conservano l’intero messaggio nella casella di PEC-CEC-PAC anche se contenuto nella busta di trasporto, firmata digitalmente di cui il gestore conserva le credenziali chiavi per aprirla ad ogni legittima richiesta, oltre a correre il rischio di essere aperta da intrusi che sono o possono entrare in possesso delle chiavi di accesso.

Rimane l’interrogativo perchè usare questo sistema ?


[1] Gli atti filmati ed interventi del convegno https://www.convegnieventi.com/pagina.asp?id=13

Your Turn To Talk

Il tuo indirizzo email non sarà pubblicato.